基于场景重构与报警聚合的网络取证分析技术

提出一种包含报警标准化、去冗余、场景重构和报警聚合的网络取证分析方法. 通过去除失败攻击的报警, 减少了对证据分析的干扰. 在场景重构中, 通过反向关联, 减少了不必要的证据, 同时通过对孤立报警的补充, 保证了证据链的完整性. 在报警聚合中, 提出了聚合同一攻击步骤的不同报警的方法, 以抽象层和具体层两个层次重构入侵场景. 最后通过实验验证了所提出方法的有效性.     

一种传感器网络假冒攻击源的测定方法

传感器网络中的假冒攻击是一种主动攻击形式,它极大地威胁传感器节点间的协同工作.提出了基于邻居协同测定假冒攻击源算法(CNAMDI).在CNAMDI算法中,节点根据主动报警规则和从动报警规则发现假冒行为,基于义务测定集传递规则的邻居协同实现对假冒攻击源的测定.CNAMDI算法无需全网拓扑信息及路由协议支撑,测定过程不借助密码算法.通过分析得出,当局部网络密度较高时,CNAMDI算法具有漏报率低、成功测定率高的特点.仿真分析表明,对比朴素算法,CNAMDI算法使漏报率平均降低了25.8%,成功测定率平均提高了45.5%,平均发包数仅增加了1.19个.     

一种基于图像处理的铁轨自动检测方法

现有的网络取证系统假设当发生入侵行为时系统仍然处于可靠的工作状态,未考虑系统状态变化对取证的影响.该文提出一个具有入侵容忍能力的网络取证系统INFS,分析了该原型系统的入侵容忍机制、基于SMP的取证控制机制和安全传输机制,以及取证agent、攻击回溯agent的工作机理,讨论了对应于不同系统状态的取证分析方法,提出了协同取证技术.     

CFMMQ:一种共享内存多队列协同取证方法

为了使网络取证系统能够协同多个安全取证系统有效取证,提出了一种共享内存多队列的协同取证方法。该方法采用了共享内存通信方式,借助信号机制,设计了基于多个队列进行数据交换算法,解决网络协同取证大数据量通信问题,基于入侵检测报文格式协议(IDMEF)设计了协同取证网络报文协议。通过实现取证系统,验证了协议设计的有效性。     

基于数据世系的网络协同入侵检测系统

目前还没有很好的入侵检测方法可以直接对网络复合攻击进行关联分析并获得较好的超报警规则.针对此问题,提出一种基于数据世系的网络协同入侵检测新方法:采用SYSLOG机制设置日志服务器,通过PERM重写技术获得日志世系数据库;利用where世系定位复合攻击者,why世系重构攻击过程,并获得攻击链的信息和超报警规则.数据世系理论和实验证明新方法是可行和有效的.     

基于入侵容忍的网络取证系统设计

现有的网络取证系统假设当发生入侵行为时系统仍然处于可靠的工作状态，未考虑系统状态变化对取证的影响。该文提出一个具有入侵容忍能力的网络取证系统INFS，分析了该原型系统的入侵容忍机制、基于SMP的取证控制机制和安全传输机制，以及取证agent、攻击回溯agent的工作机理，讨论了对应于不同系统状态的取证分析方法，提出了协同取证技术。     

一种新的入侵检测报警关联分析方法

报警聚合和关联是入侵检测领域很重要的发展方向,报警聚合是将相同或相近特征的报警信息关联起来,报警关联是根据攻击之间的因果依赖关系关联报警。采用模糊C-均值（FCM）算法剔除误报或无关报警,然后用因果关联分析发现攻击场景,恢复攻击场景。实验表明,该方法能够恢复攻击场景。     

基于粒计算的复杂网络协同进化的研究与分析

针对复杂网络数据量大,与知识存在与/或关系及不易管理等特性,探讨和研究了复杂网络与知识网络之间的关系和演化过程.采用粒商空间理论构建了复杂网络与知识网络协同进化模型,提出了基于粒计算的复杂网络协同进化算法,该方法将双库融合机制及变区域策略应用到协同进化中,较好地解决了复杂网络与知识网互相作用、协同演化等问题.通过实验与比较,验证了此方法的有效性和可行性.     

基于量子遗传算法的网络安全态势感知研究

基于当前网络状态分析,有利于指导以后的安全态势估计,为了提高网络安全态势感知的主动性和可靠性,提出基于量子遗传算法的网络安全态势感知方法.根据属性的相似度函数计算网络态势信息的相似度,并由报警相似度函数求解出两个报警信息的相似关系.建立对复杂环境下病毒攻击的网络安全态势模型,采用信号处理方法对网络安全态势感知优化.通过量子遗传算法,对网络病毒的交叉点进行区域匹配设置,同时检测病毒入侵的网络信息流,对网络安全态势进行更加精确地感知.基于CICIDS2017进行仿真,实验结果表明,提出的算法得到的安全态势预测结果具有更高的精确性和稳定性,能够有效地提高网络环境的安全性.     

基于内存取证的内核完整性度量方法

内核级攻击对操作系统的完整性和安全性造成严重威胁.当前,内核完整性度量方法在度量对象选取上存在片面性,且大部分方法采用周期性度量,无法避免TOC-TOU攻击.此外,基于硬件的内核完整性度量方法因添加额外的硬件使得系统成本较高;基于Hypervisor的内核完整性度量方法,应用复杂的VMM带来的系统性能损失较大.针对现有方法存在的不足,提出了基于内存取证的内核完整性度量方法KIMBMF.该方法采用内存取证分析技术提取静态和动态度量对象,提出时间随机化算法弱化TOC-TOU攻击,并采用Hash运算和加密运算相结合的算法提高度量过程的安全性.在此基础上,设计实现了基于内存取证的内核完整性度量原型系统,并通过实验评测了KIMBMF的有效性和性能.实验结果表明：KIMBMF能够有效度量内核的完整性,及时发现对内核完整性的攻击和破坏,且度量的性能开销小.     

基于因果语义定向的贝叶斯网络结构学习

基于变量之间基本依赖关系、基本结构、d-separation标准、依赖分析思想和混合定向策略,给出了一种有效实用的贝叶斯网络结构学习方法,不需要结点有序,并能避免打分-搜索方法存在的指数复杂性,以及现有依赖分析方法的大量高维条件概率计算等问题。     

面向服务的网络资源依赖性分析研究

资源管理是网络管理新的管理功能域,资源依赖性分析是网络资源管理的关键技术之一。本文详细描述了网络资源依赖性的相关特征属性、依赖性表示方法和动态资源依赖性的获取方法,将资源依赖性分析方法应用到网络资源管理系统中,取得了较好的效果。     

A new real-coded stochastic Bayesian optimization algorithm for continuous global optimization

Estimation of distribution algorithms are considered to be a new class of evolutionary algorithms which are applied as an alternative to genetic algorithms. Such algorithms sample the new generation from a probabilistic model of promising solutions. The search space of the optimization problem is improved by such probabilistic models. In the Bayesian optimization algorithm (BOA), the set of promising solutions forms a Bayesian network and the new solutions are sampled from the built Bayesian network. This paper proposes a novel real-coded stochastic BOA for continuous global optimization by utilizing a stochastic Bayesian network. In the proposed algorithm, the new Bayesian network takes advantage of using a stochastic structure (that there is a probability distribution function for each edge in the network) and the new generation is sampled from the stochastic structure. In order to generate a new solution, some new structure, and therefore a new Bayesian network is sampled from the current stochastic structure and the new solution will be produced from the sampled Bayesian network. Due to the stochastic structure used in the sampling phase, each sample can be generated based on a different structure. Therefore the different dependency structures can be preserved. Before the new generation is generated, the stochastic network’s probability distributions are updated according to the fitness evaluation of the current generation. The proposed method is able to take advantage of using different dependency structures through the sampling phase just by using one stochastic structure. The experimental results reported in this paper show that the proposed algorithm increases the quality of the solutions on the general optimization benchmark problems.     

可能网络结构学习的依赖分析方法研究

贝叶斯网络是概率理论与图形模式的结合,被广泛用于不确定性问题求解,但不具有处理不准确性信息的能力。可能网络是可能理论、概率理论与图形模式的结合,可弥补贝叶斯网络这方面的不足。首先介绍关于可能网络的一些概念,并与贝叶斯网进行比较,然后给出一种基于依赖分析的可能网络结构学习方法。     

Restricted Bayesian classification networks

Bayesian networks are graphical models that describe dependency relationships between variables, and are powerful tools for studying probability classifiers. At present, the causal Bayesian network learning method is used in constructing Bayesian network classifiers while the contribution of attribute to class is over-looked. In this paper, a Bayesian network specifically for classification-restricted Bayesian classification networks is proposed. Combining dependency analysis between variables, classification accuracy evaluation criteria and a search algorithm, a learning method for restricted Bayesian classification networks is presented. Experiments and analysis are done using data sets from UCI machine learning repository. The results show that the restricted Bayesian classification network is more accurate than other well-known classifiers.     

基于结点排序的贝叶斯网络结构学习

给出了变量之间k阶分类能力的概念及计算方法,并证明了k阶分类能力就是k阶分类正确率,以及k阶分类能力和条件独立性的等价性,在此基础上构造出基于分类能力的贝叶斯网络结构打分函数,同时结合依赖分析方法和打分-搜索方法建立了有效的贝叶斯网络结构学习方法,实验结果显示该方法能够有效地进行贝叶斯网络结构学习,并使学习得到的结构倾向于简单化。     

用于风险管理的贝叶斯网络学习

结合专家知识和数据进行贝叶斯网络学习.首先利用专家知识建立初始贝叶斯网络结构和参数;然后基于变量之间基本依赖关系、基本结构和依赖分析方法,对初始贝叶斯网络结构进行修正和调整,得到新的贝叶斯网络结构;最后将由专家和数据确定的参数合成为新的参数,得到融合专家知识和数据的贝叶斯网络.该方法可避免现有的贝叶斯网络学习过于依赖数据、对数据的数量和质量要求过高等问题.     

基于依赖关系图和通用漏洞评分系统的网络安全度量

管理人员通常使用一些网络安全指标作为度量网络安全的重要依据。通用漏洞评分系统（CVSS）是目前人们普遍认同的网络度量方式之一。针对现有的基于CVSS的网络安全度量无法精确测量网络受到攻击的概率和影响两方面得分的问题，提出一种基于依赖关系图和CVSS的改进基础度量算法。首先发掘攻击图中漏洞节点的依赖关系，构建依赖关系图；然后根据依赖关系修改CVSS中漏洞的基础度量算法；最后聚合整个攻击图中的漏洞得分，得到网络受到攻击的概率及影响两方面的得分。采用模拟攻击者进行仿真实验，结果表明，该算法在算法精确度和可信度方面明显优于汇总CVSS分数算法，更加接近实际仿真结果。     

智能网络取证系统

智能网络取证为网络防护提供了一种新的措施,弥补了原有网络安全体系中的不足。该系统包括数据采集、数据过滤、数据存储、管理控制和智能取证分析等部分。在数据获取的时候采用了规则过滤机制,减少了系统的负载,提高了电子证据的精确性。在数据获取的时候,系统采用了TCP/IP的实时重组,可以对应用层数据进行过滤和检测。对于获得的数据,分析模块采用多种方式综合分析入侵行为,包括协议分析、专家系统、应用数据还原、入侵检测等技术。在网络环境中,它与IDS,防火墙,VPN等技术结合,可以提供更加安全可靠的防护体系。     

基于贝叶斯网络的军事工程毁伤评估模型研究

应用贝叶斯网络理论在解决不确定性事件方面的推理优势,提出了基于贝叶斯网络的军事工程毁伤评估新方法。根据军事工程毁伤评估的系统特征与要求,提出了分解、转换、综合的系统建模规则,并引入贝叶斯网络原理,建立了运用贝叶斯网络进行军事工程毁伤评估系统建模的分析框架;在确定军事工程毁伤评估网络节点变量的基础上,以仿真计算数据为样本,确定网络结构和网络参数,寻找隐含的概率依赖关系和知识表达,构建军事工程毁伤评估置信模型。通过实例验证了用贝叶斯网络进行军事工程毁伤评估与推理的有效性。